¿Qué son las reglas universales, intrazonales e Interzonales?

¿Qué son las reglas universales, intrazonales e Interzonales?

217648
Created On 09/26/18 13:47 PM - Last Modified 06/08/23 08:26 AM


Resolution


Detalles

Al configurar una política de seguridad, no es evidente cuando se observa el reglas, lo que pasará con el tráfico que no coincida con ninguna regla. Además, no hay manera de alterar el tratamiento para ese tráfico sin crear una regla explícita. En muchos casos, los usuarios simplemente desean habilitar el registro para este tráfico. En algunos casos, quieren cambiar fácilmente el tratamiento para el tráfico intrazonal. Actualmente, esto requiere la configuración de reglas explícitas para cada zona.

 

En versiones anteriores de pan-os antes de 6,1 no hay ninguna clasificación denominada "tipo de regla" en la Directiva de seguridad. Esta es una nueva característica incorporada en la versión 6,1 de pan-os. Esta característica nos da la opción de crear reglas basadas en los parámetros de interzona, intrazona y universal. Esta función ayuda a los administradores a controlar qué reglas se crean basándose en las zonas de su red, lo que también puede resultar útil durante una auditoría.

 

En pan-os 6,1 y superiores, las reglas de seguridad predeterminadas se anexan al final de las reglas de seguridad normales, como se muestra a continuación:

  • Una imagen de COG verde junto al nombre de la regla "intrazone-default" indica que la regla es de "predefinido" o de "panorama".  Una punta de herramienta está disponible en la imagen.
  • Una imagen de doble COG junto al nombre de la regla "Interzone-default" indica que la regla está en el VSYS actual y reemplazando los valores de otra regla de "predefinido" o panorama
  • la acción de regla "intrazona-predeterminada" es permitir
  • se deniega la acción de regla "interzona-predeterminada"

doc-57491-2. png

 

La siguiente tabla detalla los tipos de reglas y descripciones:

Tipo de reglaDescripción
Universal

De forma predeterminada, todo el tráfico destinado entre dos zonas, independientemente de que sea de la misma zona o zona diferente, aplica la regla a todos los tráficos Interzonales e intrazona que coincidan en las zonas de origen y destino especificadas.

Por ejemplo, si se crea un rol universal con las zonas a y b y las zonas de destino a y b, la regla se aplicaría a todo el tráfico dentro de la zona a, todo el tráfico dentro de la zona b, y todo el tráfico de la zona a a la zona b y todo el tráfico de la zona b a la

Intrazone

Una directiva de seguridad que permite el tráfico entre la misma zona, esto aplica la regla a todo el tráfico coincidente dentro de las zonas de origen especificadas (no se puede especificar una zona de destino para las reglas intrazonales).

Por ejemplo, si se establece la zona de origen en a y b, la regla se aplicaría a todo el tráfico dentro de la zona a y a todo el tráfico dentro de la zona b, pero no al tráfico entre las zonas a y b.

Interzone

Una política de seguridad que permite el tráfico entre dos zonas diferentes. Sin embargo, no se permitirá el tráfico entre la misma zona cuando se crea con este tipo, esto aplica la regla a todo el tráfico coincidente entre las zonas de origen y destino especificadas.

Por ejemplo, si se establece la zona de origen en a, B y C y la zona de destino en a y b, la regla se aplicaría al tráfico de la zona a a la zona b, de la zona b a la zona a, de la zona c a la zona a y de la zona c a la zona b , pero no el tráfico dentro de las zonas a, B o C.

 

Una regla de seguridad definida por el usuario puede configurarse como "universal", "intrazone" o "Interzone", como se muestra a continuación:

doc-57491-1. png

 

Cuando una regla se configura como "intrazone", la "zona de destino" no se puede cambiar (gris). Su valor proviene de la "zona de origen".

doc-57491-3. png

 

Los nombres o funciones "predefinidos" o "panorámicos impulsados por defecto intrazonal" y "interzona-predeterminado" no pueden cambiarse.

Esto es indicado por un boarder verde alrededor del editor y la redacción de "sólo lectura" en el título.

Intrazone4-1. png

Para realizar un cambio en las reglas "predefinidas" o "panorámicas impulsadas por omisión" o "por defecto entre zonas", el usuario debe "reemplazar" estas reglas.

La regla "intrazone-default" o "Interzone-default" puede ser reemplazada si tiene una sola imagen verde de COG junto al nombre de la regla.

La acción "override" traerá un editor de reglas de seguridad que sólo tiene dos pestañas.

En la ficha "general", sólo se puede modificar el campo "etiquetas":

Intrazone5-1. png

 

En la ficha "acciones", sólo se pueden modificar los campos "configuración del perfil" y "configuración del registro":

Intrazone6-1. png

 

Para recuperar el valor "predefinido" o "panorama push", se puede realizar la acción "revertir".

En panorama, las reglas predeterminadas se pueden ver en un nodo de árbol independiente, debajo de las reglas pre y post de seguridad.

La imagen verde de un solo diente junto al nombre indica que la regla es de un grupo de dispositivos "ancestro", "compartido" o "predefinido".

La imagen de doble COG junto al nombre indica que la regla es "reemplazar" la de una regla de grupo de dispositivos "antecesor", una regla "compartida" o una regla "predefinida".

El usuario puede "reemplazar" las reglas "intrazona-default" o "interzona-default" como se muestra a continuación:

Intrazone8-1. png

 

Panorama

Tanto VM como M-100 panorama soportan nuevas funcionalidades. Las nuevas reglas predeterminadas aparecerán debajo de las reglas de seguridad post.

 

Más información sobre panorama:

  • Las reglas predeterminadas, cuando se empujan al plan de valores de dispositivos, tendrán efecto después de cualquier otro grupo o reglas compartidas.
  • Los cambios realizados en "Interzone-default" o "intrazone-default" localmente en el dispositivo Palo Alto Networks tienen prioridad sobre cualquier cambio que se haya impulsado desde panorama.

 

Panorama 6,1 y 5. interacción de dispositivos pan-os de x/6.0:

Al empujar las reglas de seguridad de 6,1 panorama a un dispositivo pre-6,1 Panos, el comportamiento esperado se muestra a continuación:

  • Reglas predeterminadas predefinidas quitadas de reglas para ser empujadas
  • Reglas con los tipos "intrazone" y "Interzone" quitados de reglas que se empujarán
  • Reglas con tipo "universal" convertidas en reglas pre-6,1
  • Panorama presenta una advertencia de que no todas las reglas fueron empujadas a pre-6,1 dispositivo (s)
    admin @ panorama > Mostrar trabajos ID 25970

 

Resultado de estado de tipo de ID en cola completado

--------------------------------------------------------------------------

2014/07/22 22:03:38 25970 CommitAll fin OK 100%   

ADVERTENCIAS: 001606007416 está debajo de 6,1, quitando las reglas de intrazone e Interzone

-010401000006 commit tuvo éxito OK 22:03:39 22:03:57

-001606007416 commit tuvo éxito OK 22:03:39 22:05:15

 

Upgrade/downgrade:

  • Upgrades: Si una regla ya existe con el nombre "intrazone-default" o "Interzone-default" esa regla debe ser renombrada a "Custom-intrazone-default" o "Custom-Interzone-default".
    Nota: al actualizar a pan-os 6,1, todas las reglas existentes en el reglas de seguridad se convertirán en reglas universales.
  • Downgrades: Elimine el nodo de tipo de todas las reglas universales. Elimine todas las reglas intrazone e Interzone.

 

Ver también

Guía del administrador de pan-os 6,1

 

Propietario: jdelio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClomCAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language